Please use this identifier to cite or link to this item: https://hdl.handle.net/11264/1107
Title: ANOMALY DETECTION FOR THE MIL-STD-1553B MULTIPLEX DATA BUS USING AN LSTM AUTOENCODER
Authors: Harlow, Alec
Royal Military College of Canada
Roberge, Vincent
Lachine, Brian
Keywords: LSTM
AUTOENCODER
Deep Learning
MIL-STD-1553B
Issue Date: 10-Apr-2023
Abstract: Due to the modernization of aircraft systems and connectivity to ground based networks, including the Internet, in commercial and military aviation, real-time systems that were thought to be “air-gapped” are becoming more susceptible to cyber-attack. Most real-time systems that communicate using the Military Standard 1553B Multiplex Data Bus (MIL-STD-1553B) protocol do not have the ability to detect such attacks. Rightly so, these systems were originally developed with safety and redundancy in mind, not security. These two factors introduce attack vectors to MIL-STD-1553B communication buses and expose associated avionics systems to remote exploitation. Recent approaches to anomaly detection for the MIL-STD-1553B data bus have leveraged statistical analysis, Markov Chain modeling, remote terminal fingerprinting techniques and signature-based detection. However, their comparative effectiveness is unknown. In the case of the statistical analysis technique, the accuracy and precision in detecting the start and stop time of anomalous events are not ideal for conducting investigations. Deep learning techniques have shown to be an effective means of anomaly detection and applying these techniques to the MIL-STD-1553B Data Bus could provide more accurate and precise detection times when anomalies or attacks are present, when compared to known statistical analysis, leading to more efficient forensic investigations of anomalous events. The aim of this research is to improve the time-related performance metrics when detecting attacks on the MIL-STD-1553B data bus traffic using a LSTM autoencoder. In order to accomplish this aim, an LSTM autoencoder detector was developed and tested on two separate datasets from different MIL-STD-1553B network architectures, totaling 27 threat instances over 9 scenarios. The detector was then compared to the MIL-STD-1553B Anomaly-Based Intrusion Detection System (MAIDENS) detector, a statistical-based intrusion detection system. The LSTM autoencoder detected every threat instance with no false positive or false negative results and improved on the time-related performance metrics when compared to the MAIDENS detector. The results demonstrated this deep learning technique as an effective method for accurately identifying anomalies on a MIL-STD-1553B Data Bus.
En raison de la modernisation des systèmes d'aéronefs et de la connectivité aux réseaux au sol, y compris Internet, dans l'aviation commerciale et militaire, les systèmes en temps réel que l'on croyait “isolés” deviennent de plus en plus vulnérables aux cyberattaques. La plupart des systèmes en temps réel qui communiquent à l'aide du protocole Military Standard 1553B Multiplex Data Bus (MIL-STD-1553B) n'ont pas la capacité de détecter de telles attaques. À juste titre, ces systèmes ont été initialement développés dans un souci de sécurité et de redondance, et non de sécurité. Ces deux facteurs introduisent des vecteurs d'attaque dans les bus de communication MIL-STD-1553B et exposent les systèmes avioniques associés à une exploitation à distance. Les approches récentes de détection d'anomalies pour le bus de données MIL-STD-1553B ont tiré parti de l'analyse statistique, de la modélisation de la chaîne de Markov, des techniques d'empreinte digitale des terminaux distants et de la détection basée sur les signatures. Cependant, leur efficacité comparative est inconnue. Dans le cas de la technique d'analyse statistique, l'exactitude et la précision de la détection de l'heure de début et d'arrêt des événements anormaux ne sont pas idéales pour mener des enquêtes. Les techniques d'apprentissage en profondeur se sont révélées être un moyen efficace de détection des anomalies et l'application de ces techniques au bus de données MIL-STD-1553B pourrait fournir des temps de détection plus précis et précis lorsque des anomalies ou des attaques sont présentes, par rapport à l'analyse statistique connue, conduisant à enquêtes médico-légales plus efficaces sur les événements anormaux. L'objectif de cette recherche est d'améliorer les mesures de performances liées au temps lors de la détection d'attaques sur le trafic du bus de données MIL-STD-1553B à l'aide d'un auto-encodeur LSTM. Afin d'atteindre cet objectif, un détecteur d'auto-encodeur LSTM a été développé et testé sur deux ensembles de données distincts provenant de différentes architectures de réseau MIL-STD-1553B, totalisant 27 instances de menace sur 9 scénarios. Le détecteur a ensuite été comparé au détecteur MAIDENS (Système de détection d'intrusion basé sur les anomalies) MIL-STD-1553B, un système de détection d'intrusion basé sur les statistiques. L'encodeur automatique LSTM a détecté chaque instance de menace sans résultats faux positifs ou faux négatifs et a amélioré les mesures de performances liées au temps par rapport au détecteur MAIDENS. Les résultats ont démontré que cette technique d'apprentissage en profondeur est une méthode efficace pour identifier avec précision les anomalies sur un bus de données MIL-STD-1553B.
URI: https://hdl.handle.net/11264/1107
Appears in Collections:Theses

Files in This Item:
File Description SizeFormat 
20230320_Harlow_Thesis.pdfThesis Doc2.03 MBAdobe PDFView/Open


Items in eSpace are protected by copyright, with all rights reserved, unless otherwise indicated.